Странное поведение самозащиты CIS6

Ой, чё было-то, чё было…
Решил просканировать систему разными антивирусными сканерами. Эмсисофт, Хитман, Малваре антималваре…и курейтом от доктора веба. Доктор веб распознал cavwp.exe в памяти как троян, и прибил его. Тот тут же восстановился. Я написал в доктор вебовскую лабораторию об этом. Меня попросили прислать этот файл. Я открыл окно проводника, через диспетчер задач, Открыть место хранения файла , и левой мышкой потащил его на рабочий стол, полагая, что переместить мне этот файл комодо не даст. И по этому и на рабочий стол скопируется, и в папке комода останется. А он взял и переместился. В папке комода его перестало существовать. Я отправил файл в лабу веба, в архиве. И подумал, что сейчас перегружусь, комод обнаружит отсутствие cavwp.exe, восстановит его как процесс, и всё. По этому файл сavwp.exe, с рабочего стола попытался удалить. А он не удаляется… Тогда я открыл диспетчер задач опять, нашёл этот процесс. Опять через Открыть место хранения файла открыл окно…на этот раз открылся рабочий стол, с лежащим там cavwp.exe… Йо-мойо… Модуль комодо в самоволку вдарился. Я попытался удалить его через Unlocker, но и тот просто так не смог, а запросил удаление при перезагрузке. Перегружаюсь…Файла cavwp.exe на рабочем столе след простыл. В папке комода новый cavwp.exe не появился. Комод красный, и говорит, что антивирусные базы ниразу не обновлялись. Проверил настройки, вроде все на месте. Обновил заново базы, а cavwp.exe из отправленного архива плюхнул в папку комода , на место…
Такие вот дела. Сейчас перегружвсь, если ничего более написано в этом сообщении не будет, значит всё пучком.
Собственно вопрос… Куда смотрел комод, когда его модуль перемещали? И почему не восстановил его обратно при перезагрузке? И почему этот файл (про остальные не знаю, не сталкивался) так слабо защищён?

Решил повторить “эксперимент”.
Точно так же, cavwp.exe переместился на рабочий стол, точно так же отказался удаляться, точно так же исчез из папки комода. На этот раз я лежащий на рабочем столе cavwp.exe не удалял через Unlocker, тупо перезагрузился, что бы узнать, не подхватит ли комод этот файл с рабочего стола…
Неа, не подхватил. Опять красный. Опять, типа, не обновлялся никогда.
Тогда я его тупо плюхнул на место с рабочего стола в папку комода, а тот что на рабочем столе уже удалил без проблем. Что не удивительно, он уже не занят процессом. Подумал, может увидит этот файл опять, и обновления не понадобятся. Перегружаюсь…Неа, не восстановил понятия об обновлениях. Обновляюсь опять.
Вот, как-то так…

Сей факт печален конечно.Но по моему никто не мешал вам или занести при проверке файл/папку (нужное подчеркри) комода в исключения.Или выбоать интерактивно-не мочить!Чего теперь ныться,если на Др.Вэб даже иски подавали из за этого,помниться он порубал на офисном компе много нужных документов.Не помню где читал,неохота искать.Вот мой скрин.Кроме Хипса и песочницы,еще и самозащита.
Попытка удалить из папки Комодо.Так что пока процесс запущен…
[URL=http://www.radikal.ru]
http://s48.radikal.ru/i120/1304/8b/6a3646aed5f5.jpg

Операции по перемещению таких важных файлов надо производить не из под винды.Ну хоть бут диск с линуксом,все пойдут,любые лив сд.

Вы видимо не уловили суть проблемы. Проблема в том, что файл этот удалить нельзя, что и не нужно делать, учитывая этот пример, достаточно каким-нибудь руткитом его перетащить на рабочий стол и после перезагрузки антивирус не активен, т.к. Comodo с рабочего стола его не подхватывает. Дыра в безопасности на лицо. Было бы отлично, в правилах делать оповещение и блокировать cavwp.exe и прочие модули не только при попытке их удаления, но и при перемещении и копировании.

Я всё уловил.Вы читали после чего-

Только не уловил настроек при которых Др.Вэб убил в памяти этот файл.Так ведь можно что угодно рассказать.При включенном хипсе,и самозащите-сомнительно.В некотором ПО есть приложения/дополнения для удаления файлов которые невозможно удалить стандартным способом.Попробуйте.Потушить точно не удастся,удалить то же врядли.А теперь от слов к делу-
Инструмент обычный доступный
Emsisoft BlitzBlank
Вот рецензия Readme
BlitzBlank is a tool for experienced users and all those who must
deal with Malware on a daily basis. Malware infections are not always
easy to clean up. These days the software pests use clever techniques
to protect themselves from being deleted. In more and more cases it
is almost impossible to delete a Malware file while Windows is
running. BlitzBlank deletes files, Registry entries and drivers at
boot time before Windows and all other programs are loaded.
Запускаем.Заносим наш файл в список на удаление.Как исполняемый.
Просит ребут.Учитываем что в данном случае наша утилита канает под зловред,по отношению к комодо.
Идет коммандная строка,как и обещалось,до бута винды.
Вот скрин

http://s020.radikal.ru/i706/1304/76/cdca722a8907.jpg

Чё-чё там failed? А…не может открыть-вскрыть драйвер?!.Надо же и комодский файл на месте…Какая неожиданность…
Чё то мне подсказывает,о первом посте автора,можно сказать так-пословицей-
В дурдоме даже и валенок е…т
P.S
Чего то последнее время распоясались тестеры…Из темы Тестирование уже выползли,что ли?Я даже себе представить не могу как,как Др.Вэб мог убить файл в памяти,остановить процесс во время работы оси,если его не удалось убить даже из дозагрузочной области?Ответ один-неправильная конфигурация защиты.Так что это не баг.Очередная невнимательность.

Убивал курейт от доктора веба, сканер, так сказать. Его уже поправили. Ложное срабатывание уже не будет. А настроек особо никаких не было. Ну, обычное дело, запуск курейта, без защиты, и сканирование. В памяти он этот процесс и лупил. Но комод его восстанавливал вновь.Скрины курейта не сохранились. Сохранились письма.
http://s017.radikal.ru/i420/1304/84/30fe5d599dcat.jpg

http://s47.radikal.ru/i116/1304/b6/d049a5f91d42t.jpg
Кино делать? Хотя, может за это время перемещение комодовского файла пофиксили…
Чего то последнее время распоясались тестеры…Из темы Тестирование уже выползли,что ли?
Наверное надо кино снимать, что бы верили… А не правильные настройки защиты… Вот они, правильные или нет, судите сами. http://yadi.sk/d/kQqv6HrZ4Nouk
Но, вообще-то, по логике, защита модулей антивируса (особенно работающих в реальном времени), не должна зависеть от пользовательских настроек.

P.S. Вот кино. Тут перемещение файла - YouTube
А тут после перезагрузки. - YouTube Там и настройки заодно.

Всё остальное можно было и не писать.

Почему не писать?
То, что курейт домахивался до процесса комодо, послужило только началом истории. Курейт домахался, я написал в лабу доктора веба. Меня попросили прислать этот файл. Я его мышью потащил на рабочий стол, надеясь, что он скопируется, комод переместить не даст. А он дал. Речь о курейте шла как начало истории. Как работает доктор веб, и его утилиты, это их забота. Я написал им, что их утилита наезжает на комодовский процесс, они исправили ложное срабатывание.
А вот то, что у комод странная защита своих модулей…это вот основное.
По этому, о курейте можно было не писать. А о перемещении комодовского файла, писать надо было обязательно.

Я опроверг ваши доводы в том ответе где фото с экрана.Ищите проблему в своих настройках/ответах.При минимально настроенном CIS такого не должно было случится.Как я и писал,где вы указали-как был настроен ваш CIS,на тот момент?Кроме-обычного рядового описания,никаких технических фактов вы не выложили.Я же вам технически,со скринами опроверг.Опровергните и вы-мои доводы.Рад буду их выслушать.То,кому,вы вам писали,это мало интересно.Главное-состояние защиты на момент факта.И желательно по подробнее.Даже не так.Вы вряд ли,судя по хронологии,снимали кино в момент случившегося.И уверен на все 100% -галочка в проактивной защите была снятой-Включить HIPS.
Дело в том,что проведение скана всеми АВ утилитами построено по единому образцу.Первое-найдено вредоносное ПО.Попытка Удалить/карантин.При неудаче попытка остановить процесс/дерево процессов,удаление ключей автозапуска,ну и так далее…При неудаче см мой скрин выше-аналогичные действия.АВ загружает свой модуль в память,создает ему ключ- стартовать 1раз при запуске системы в дозагрузочной области.И делать то же что я и описал.Нового ничего не придумано.Ну и последнее.Я у вас за спиной не стоял,и поэтому не знаю как у вас там было.А вот при тех настройках что использовал я это повторить не удается.При чём я режим Проактив Секьюритити-не люблю,не использую.Единственно-Включеный хипс,+ самозхащита+ немного внимательности.

Да есть такая проблема, действительно есть…
Поставил одной тете CIS, настроил, через пару недель зашел в гости - нету CISы :o Сын говорит приезжал, чем то ему твой антивирус помешал, отключить и деинсталировать он не смог (я пароль ставил), так он тупо в проводнике весь каталог Comodo из Programm Files удалил и делов то…
Так что от таких простых и тупых действий типа лома Comodo не защищен…

На своем домашнем компе помню менял 5.12 на 6.0. CIS под паролем, зашел через Установка/удаление программ, жманул деинсталировать, он у меня даже пароля не спросил, удалился…

Речь тут не о таком случае.А о конкретном процессе.Читайте с начала топика.

Да все то же самое, CIS преспокойно позволяет перемещать или удалять свои файлы… Об этом и речь.

А насчет внимательности:
Я открыл окно проводника, через диспетчер задач, Открыть место хранения файла , и левой мышкой потащил его на рабочий стол, полагая, что переместить мне этот файл комодо не даст. И по этому и на рабочий стол скопируется, и в папке комода останется. А он взял и переместился.
Специально для Вас из первого поста - через Проводник CIS и перемещается и удаляется.

А это специально для вас.


http://s019.radikal.ru/i634/1304/7f/10ff39dfae0f.jpg


http://s018.radikal.ru/i507/1304/c9/44d94d5052bc.jpg


http://s58.radikal.ru/i162/1304/84/5c58c199b158.jpg

??? :-\ через Проводник CIS и перемещается и удаляется. :-TD

Специально для меня это понятно, все настроено так же - HIPS включен, песочница тоже, режим безопасный, усиленная защита стояла, однако имели то, что имели… вся папка Comodo благополучно была удалена…

Мне больше нечего добавить.Винду тоже можно угробить одним тыком.Это уже вопрос юзабилити,а не пониженной самозащиты или чего там ещё.Сия ситуация сильно похожа на пословицу…Я уже писал насчет валенка.Который в дурдоме-короче то делают с валенком,о чем тут писать нельзя.

McARIS

У вас какая база в CIS 6.1?
У меня 15 часов нет обновлений. Сейчас 16116.
Стоит через 2 часа. Вчера поставил CIS 6. После 3 часов нормальной работы перестал автообновляться.
В ручном показывает все актуально. 15 часов?

Так и есть.
http://s53.radikal.ru/i141/1305/5f/f23ced3fb767.jpg

Я если честно не парюсь никогда.Если уж пожелтеет,тогда испугаюсь…:-))

Долго однако ;D

GUI не по уму сделан. В 5 видно было запросы cmdagent сервера и время. Ладно посмотрим.
Спасибо. :-TU

Да огрехи есть.Не за что.